Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Wartungsmodus ist ein Feature, das es Community- oder Enklavenbesitzern ermöglicht, ihre Community oder Enklaven vorübergehend in einen "Wartungsmodus" zu versetzen, in dem Änderungen zulässig sind. Dieser Modus ermöglicht privilegierten Benutzern, bestimmte Änderungen an den zugrunde liegenden verwalteten Ressourcen vorzunehmen, die normalerweise durch Verweigerungszuweisungen geschützt sind. Dies trägt dazu bei, die Community- und Enklavenisolation und Netzwerkgrenze aufrechtzuerhalten.
Wartungsmodusoptionen
-
Off- Von Azure Enclave erstellte Ablehnungszuweisungen sind eingerichtet, um zugrunde liegende verwaltete Ressourcengruppen für eine Enklave oder Community zu schützen. -
General– Die von Azure erstellte VerweigerungszuweisungAllow Dataplane Actionsermöglicht privilegierten Benutzern, bestimmte vorhandene Ressourcen nur in den zugrunde liegenden verwalteten Ressourcen zu ändern. Bei einer Enklave umfassen diese Vorgänge Ressourcen, die dem virtuellen Enklavennetzwerk beitreten und Privates DNS Zonendatensätze erstellen. Bei einer Community umfassen diese Vorgänge Änderungen an den Virtual WAN Ressourcen. Standardmäßig werden Communities und Enklaven im ModusOffbereitgestellt. Wählen Sie jedoch bei der Erstellung den ModusGeneralaus und geben Sie geeignete Microsoft Entra ID-Identitäten an, um Änderungen an den geschützten Ressourcen zuzulassen. -
Advanced– Die von Azure erstellte Verweigerungszuweisung wird vorübergehend entfernt, damit privilegierte Benutzer erhöhte Änderungen an den zugrunde liegenden verwalteten Ressourcen vornehmen können.
Begründungsoptionen
- Netzwerk : Verwalten privilegierter oder benutzerdefinierter Änderungen an verwalteten Ressourcen.
- Governance – Verwalten von Protokollierung, Richtlinien oder anderen governancebezogenen Änderungen.
- Deaktiviert – Wartungsmodus nicht mehr erforderlich.
Community-Wartungsmodus
Der Community-Wartungsmodus wird verwendet, um verwaltete Ressourcen zu schützen, die die Community bilden, einschließlich Azure vWAN, Azure Firewall, Firewallrichtlinie und Log Analytics Arbeitsbereich. Ablehnungszuweisungen werden verwendet, um nicht autorisierte Aktionen über diese Ressourcen zu verhindern. Wenn der Wartungsmodus aktiviert ist, erhalten die angegebenen Prinzipale Ausschlüsse aus den Ablehnungszuweisungen, um privilegierte RBAC-Aktionen auszuführen.
Szenarien für den Community-Wartungsmodus
Zu den gängigen Anwendungsfällen für den Community-Wartungsmodus gehören:
- Erstellen/Ändern von Tabellen für virtuelle Hubrouten zur Unterstützung komplexer Netzwerkkonfigurationen
- Erstellen/Ändern von benutzerdefinierten virtuellen Hubs innerhalb der Community vWAN
- Erstellen/Ändern einzelner Netzwerksicherheitsgruppenregeln, die für bestimmte Azure Dienste erforderlich sind
- Erstellen von Ressourcen innerhalb der verwalteten Ressourcengruppe "Enclave", um private Netzwerke zu ermöglichen (z. B. Privates DNS Zonen, private Links usw.)
Community – Allgemeiner Wartungsmodus
Wenn für eine **Community **-Ressource der General Wartungsmodus aktiviert ist, werden die Wartungsmodus-principals (z. B. Benutzer oder Gruppen) aus der Deny All Ablehnungszuweisung für die von der Community verwaltete Ressourcengruppe ausgeschlossen.
Dadurch können die in den Sicherheitsprinzipalen des Wartungsmodus angegebenen Benutzer die entsprechenden Aktionen ausführen, die andernfalls durch die Ablehnungszuweisung Deny All blockiert würden. Die Allow Dataplane Actions Ablehnungszuweisungen gelten weiterhin für alle Prinzipale (einschließlich der Prinzipale im Wartungsmodus). Ein Benutzer ist möglicherweise immer noch durch seine zugewiesenen Rollen eingeschränkt.
Die folgenden Berechtigungen sind in der von der Community verwalteten Ressourcengruppe erlaubt, wenn der allgemeine Wartungsmodus aktiviert ist.
Community-Ablehnungszuweisung: Deny All
| Operation | Art der Maßnahme | Explanation | |
|---|---|---|---|
| * | Maßnahme | Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen. | |
| */read | NotAction | Zulässig | „Lesen“-Aktionen für alle Ressourcen zulassen |
| Microsoft.Resources/tags/* | NotAction | „Tags“-Aktionen für alle Ressourcen zulassen |
Community – Erweiterter Wartungsmodus
Die folgenden Berechtigungen sind für die von der Community verwaltete Ressourcengruppe zulässig, wenn der erweiterte Wartungsmodus aktiviert ist.
Community-Verweigerungszuweisung: Allow Dataplane Actions
| Operation | Art der Maßnahme | Explanation |
|---|---|---|
| * | Maßnahme | Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen. |
| */read | NotAction | Leseaktionen für alle Ressourcen zulassen |
| Microsoft.Insights/alertRules/* | NotAction | Alle Aktionen für "alertRules" zulassen |
| Microsoft.Support/* | NotAction | Alle Aktionen für „Support“ zulassen |
| Microsoft.Resources/tags/* | NotAction | „Tags“-Aktionen für alle Ressourcen zulassen |
| Microsoft.Network/azureFirewalls/networkRuleCollections/write | NotAction | Schreibaktionen für networkRuleCollections zulassen |
| Microsoft.Network/azureFirewalls/applicationRuleCollections/write | NotAction | Zulassen von „Schreibvorgängen“ für applicationRuleCollections |
| Microsoft.Network/azureFirewalls/natRuleCollections/write | NotAction | „Schreibvorgänge“ für natRuleCollections zulassen |
| Microsoft.Network/firewallPolicies/ruleGroups/write | NotAction | „Schreiben“-Aktionen für ruleGroups zulassen |
| Microsoft.Network/virtualHubs/write | NotAction | Zulassen von „Schreibvorgängen“ auf virtualHubs |
| Microsoft.Network/virtualWans/virtualHubs/read | NotAction | "Lesen"-Aktionen auf virtualHubs zulassen |
| Microsoft.Network/virtualWans/join/action | NotAction | Zulassen von "Join"-Aktionen für virtualWans |
| Microsoft.Network/virtualHubs/routeTables/write | NotAction | „Schreib“-Aktionen für Routingtabellen des virtuellen Hubs zulassen |
Enklave Wartungsmodus
Der Wartungsmodus der Enklave wird verwendet, um verwaltete Ressourcen zu schützen, aus denen sich die Enklave zusammensetzt, einschließlich des Azure-Virtual Network, der Netzwerksicherheitsgruppen und des Log Analytics-Arbeitsbereichs. Ablehnungszuweisungen werden verwendet, um nicht autorisierte Aktionen über diese Ressourcen zu verhindern. Wenn der Wartungsmodus aktiviert ist, erhalten die angegebenen Prinzipale Ausschlüsse aus den Ablehnungszuweisungen, um privilegierte RBAC-Aktionen über die verwaltete Ressourcengruppe der Enklave auszuführen.
Szenarien für den Wartungsmodus der Enklave
Häufige Szenarien für die Verwendung des Enklaven-Wartungsmodus sind:
- Ausführen von Subnetz-/vnet-Verknüpfungsvorgängen während der Workloadbereitstellung
- Erstellen/Ändern einzelner Netzwerksicherheitsgruppenregeln, die für bestimmte Azure Dienste erforderlich sind
- Erstellen von Ressourcen innerhalb der verwalteten Ressourcengruppe der Enklave, um private Netzwerke zu ermöglichen (z. B. Privates DNS Zonen, private Links usw.)
Enklave - Allgemeiner Wartungsmodus
Wenn für eine Enklaveressource der General Wartungsmodus aktiviert ist, sind die Wartungsmodus-principals (Benutzer, Gruppen oder Dienstprinzipale) von der Deny All Ablehnungszuweisung für die von der Enklave verwaltete Ressourcengruppe ausgenommen. Dadurch können die in den Sicherheitsprinzipalen des Wartungsmodus angegebenen Benutzer die entsprechenden Aktionen ausführen, die andernfalls durch die Ablehnungszuweisung Deny All blockiert würden. Die Allow Dataplane Actions Ablehnungszuweisungen gelten weiterhin für alle Prinzipale (einschließlich der Prinzipale im Wartungsmodus). Ein Benutzer ist möglicherweise immer noch durch seine zugewiesenen Rollen eingeschränkt.
Die folgenden Berechtigungen sind für die von der Enklave verwaltete Ressourcengruppe zulässig, wenn der allgemeine Wartungsmodus aktiviert ist.
Ablehnungszuweisung der Enklave: Deny All
| Operation | Art der Maßnahme | Explanation |
|---|---|---|
| * | Maßnahme | Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen. |
| */read | NotAction | Leseaktionen für alle Ressourcen zulassen |
| Microsoft.Resources/tags/* | NotAction | „Tags“-Aktionen für alle Ressourcen zulassen |
Enklave - Erweiterter Wartungsmodus
Die folgenden Berechtigungen sind für die von der Enklave verwaltete Ressourcengruppe erlaubt, wenn der erweiterte Wartungsmodus aktiviert ist.
Ablehnungszuweisung der Enklave: Allow Dataplane Actions
| Operation | Art der Maßnahme | Explanation |
|---|---|---|
| * | Maßnahme | Alle Aktionen verweigern, außer den in dieser Tabelle angegebenen. |
| */read | NotAction | Leseaktionen für alle Ressourcen zulassen |
| Microsoft.Insights/alertRules/* | NotAction | Alle Aktionen für "alertRules" zulassen |
| Microsoft.Resources/deployments/* | NotAction | Alle Aktionen für „Bereitstellungen“ zulassen |
| Microsoft.Support/* | NotAction | Alle Aktionen für „Support“ zulassen |
| Microsoft.Network/privateDnsZones/* | NotAction | Alle Aktionen für "privateDnsZones" zulassen |
| Microsoft.Network/privateDnsOperationResults/* | NotAction | Alle Aktionen für "privateDnsOperationResults" zulassen |
| Microsoft.Network/privateDnsOperationStatuses/* | NotAction | Alle Aktionen für "privateDnsOperationStatuses" zulassen |
| Microsoft.Network/virtualNetworks/join/action | NotAction | vNet-/Beitrittsvorgängen über das Enklaven-vNet zulassen |
| Microsoft.Network/virtuelleNetzwerke/Unternetze/beitreten/Aktion | NotAction | Subnetz-/Verknüpfungsvorgänge über das Enklaven-vNet zulassen |
| Microsoft.Authorization/policyExemptions/* | NotAction | Alle Aktionen für "policyExemptions" zulassen |
| Microsoft.Network/routeTables/routes/write | NotAction | "Schreiben"-Aktionen für Routentabellen virtueller Netzwerke zulassen |
So verwenden Sie den Wartungsmodus
1. Aktivieren des Wartungsmodus während der Community- oder Enklavenerstellung
- Navigieren Sie zur Registerkarte "Wartungsmodus" auf der Community- oder Enklavenerstellungsmaske.
- Wählen Sie die Modusoption [
Off/General/Advanced]. - Wählen Sie die Dienstprinzipale aus, die Sie einbeziehen möchten.
- Wählen Sie die Begründung aus, warum Sie den Wartungsmodus [
OFF/NETWORKING/GOVERNANCE] eingeben. - Überprüfen Sie die Community oder Enklave und erstellen Sie sie wie gewohnt.
2. Aktivieren des Wartungsmodus für eine vorhandene Community oder Enklave
- Navigieren Sie zu der Community oder Enklave, für die Sie den Wartungsmodus aktivieren.
- Navigieren Sie zur Registerkarte "Wartungsmodus".
- Wählen Sie die Modusoption [
Advanced/General]. - Wählen Sie die Dienstprinzipale aus, die Sie einbeziehen möchten.
- Wählen Sie die Begründung aus, warum Sie den Wartungsmodus [
NETWORKING/GOVERNANCE] eingeben. - Bestätigen und speichern.
3. Ausführen von Wartungsaufgaben
- Fahren Sie nach dem Aktivieren des Wartungsmodus mit Ihren Wartungsaufgaben fort, oder erstellen Sie bei Bedarf komplexe Arbeitslasten.
4. Wartungsmodus deaktivieren
- Navigieren Sie nach Abschluss Ihrer Aufgaben zurück zur Registerkarte "Wartungsmodus".
- Wählen Sie den
OFFModus aus. - Bestätigen und speichern.
Bewährte Methoden
- Nutzung einschränken: Stellen Sie sicher, dass der Wartungsmodus nur für vertrauenswürdige privilegierte Benutzer während geplanter Wartungsfenster aktiviert wird, und dass die Sicherheit und Isolation der Azure Enclave-Ressourcen aufrechterhalten werden.
- Verstehen sie die Auswirkungen: Privilegierte Benutzer sollten die änderungen, die sie vornehmen, vollständig verstehen und Schritte zum Rückgängigmachen oder Beheben dieser Änderungen ausführen. Manuelle Änderungen an zugrunde liegenden verwalteten Ressourcen in einer Community oder Enklave während des Wartungsmodus verursachen möglicherweise unbeabsichtigte Abweichung in Ihrer Umgebung von idealen Zuständen.
Weitere Informationen
- Was ist die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC)?
- Verstehen von Ablehnungszuweisungen für Azure-Ressourcen
- Auflisten von Ablehnungszuweisungen über das Azure-Portal
- Azure-integrierte Rollen
- Azure-Rollendefinitionen verstehen
- Bewährte Methoden für Azure RBAC
- Was ist Microsoft Entra Privileged Identity Management?
- Verwaltete Ressourcengruppen in Azure